3
Problem mit Mikrotik src-nat
Ich habe für die Internetverbindung meines LANs folgende Firewall-Regel angelegt:
/ip firewall nat
add action=src-nat chain=srcnat src-address=192.168.0.0/24 to-addresses=123.123.123.111
"to-addresses=123.123.123.111" deshalb, weil ich mehrere offizielle IPs habe.
Mein Problem ist nun, dass andere Geräte mit 123.123.123.xxx Adressen direkt auf 192.168.0.x zugreifen können. Das sollen sie aber nur über die 123.123.123.111 und deren dst-nat Regeln (Port Forwarding) können.
Was fehlt mir hier?
Wenn ich eine zusätzliche Regel mit "chain=forward action=drop dst-address=192.168.0.0/24" anlege funktioniert die Internetverbindung nicht mehr...
/ip firewall nat
add action=src-nat chain=srcnat src-address=192.168.0.0/24 to-addresses=123.123.123.111
"to-addresses=123.123.123.111" deshalb, weil ich mehrere offizielle IPs habe.
Mein Problem ist nun, dass andere Geräte mit 123.123.123.xxx Adressen direkt auf 192.168.0.x zugreifen können. Das sollen sie aber nur über die 123.123.123.111 und deren dst-nat Regeln (Port Forwarding) können.
Was fehlt mir hier?
Wenn ich eine zusätzliche Regel mit "chain=forward action=drop dst-address=192.168.0.0/24" anlege funktioniert die Internetverbindung nicht mehr...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 227389
Url: https://administrator.de/forum/problem-mit-mikrotik-src-nat-227389.html
Ausgedruckt am: 16.04.2025 um 09:04 Uhr
3 Kommentare
Neuester Kommentar
Hier mal reingesehen:
http://wiki.mikrotik.com/wiki/NAT_Tutorial
und
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
http://wiki.mikrotik.com/wiki/NAT_Tutorial
und
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
Ich hab das genau so aufgebaut wie in den von dir verlinkten Wiki-Seiten...Leider wird mein Problem dort mit keiner Silbe erwähnt.
Nochmal zur verdeutlichung anhand der Router-Logs:
das ist OK, weil geNATed wird:
firewall,info forward: in:ether2-wan1 out:ether5-lan, src-mac 00:0c:29:xx:xx:xx, proto TCP (ACK,PSH), 123.123.123.100:143->192.168.0.171:50681, NAT 123.123.123.100:143->(123.123.123.111:50681->192.168.0.171:50681), len 50
das aber nicht, weil direkt ohne NAT zugegriffen werden kann:
firewall,info forward: in:ether2-wan1 out:ether5-lan, src-mac 00:1b:fc:xx:xx:xx, proto TCP (SYN), 123.123.123.101:49186->192.168.0.111:445, len 52
Ich bräuchte somit eine Firewall-Regel die alles ohne NAT Kennzeichnung blockiert, nur ich finde irgendwie nix
Nochmal zur verdeutlichung anhand der Router-Logs:
das ist OK, weil geNATed wird:
firewall,info forward: in:ether2-wan1 out:ether5-lan, src-mac 00:0c:29:xx:xx:xx, proto TCP (ACK,PSH), 123.123.123.100:143->192.168.0.171:50681, NAT 123.123.123.100:143->(123.123.123.111:50681->192.168.0.171:50681), len 50
das aber nicht, weil direkt ohne NAT zugegriffen werden kann:
firewall,info forward: in:ether2-wan1 out:ether5-lan, src-mac 00:1b:fc:xx:xx:xx, proto TCP (SYN), 123.123.123.101:49186->192.168.0.111:445, len 52
Ich bräuchte somit eine Firewall-Regel die alles ohne NAT Kennzeichnung blockiert, nur ich finde irgendwie nix
Ich habe jetzt einen Tipp bekommen,
chain=forward action=accept connection-state=related dst-address=192.168.0.0/24
chain=forward action=accept connection-state=established dst-address=192.168.0.0/24
chain=forward action=drop dst-address=192.168.0.0/24
einzufügen.
Das funktioniert zwar für TCP-Pakete, aber korrekt genattete UDP Pakete werden so auch verworfen, weil UDP ja verbindungslos ist...
Hat jemand eine Idee?
chain=forward action=accept connection-state=related dst-address=192.168.0.0/24
chain=forward action=accept connection-state=established dst-address=192.168.0.0/24
chain=forward action=drop dst-address=192.168.0.0/24
einzufügen.
Das funktioniert zwar für TCP-Pakete, aber korrekt genattete UDP Pakete werden so auch verworfen, weil UDP ja verbindungslos ist...
Hat jemand eine Idee?
